《商用密码应用安全性评估管理办法》解读

一、出台背景

今年5月24日，《商用密码管理条例》（以下简称《条例》）正式发布，修订后的《条例》与《密码法》紧密衔接，有效地将商用密码应用各领域、各环节、各要素纳入法治化管理轨道，满足了更加紧迫的商用密码泛在化应用需求，有利于更好地推进商用密码高质量发展。《条例》发布后，相关的配套规章制度也陆续完善和发布，确保《密码法》和《条例》确立的各项制度落到实处。10月7日，《商用密码应用安全性评估管理办法》（以下简称《办法》）正式发布，《办法》进一步细化了商用密码应用安全性评估范围、责任主体、工作原则及要求、实施规范等内容，依法规范商用密码应用安全性评估工作。

二、商用密码应用安全性评估范围

《办法》与《条例》相比，进一步扩展和明确了商用密码应用安全性评估范围，《条例》对关键信息基础设施的要求非常明确，但是对网络和信息系统运营者的要求较为模糊，只要求按照国家网络安全等级保护制度要求，而《办法》将商用密码应用安全性评估对象明确为重要网络与信息系统，不仅涵盖了关键信息基础设施，还包含其他大量系统。

【第六条】 法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统（以下简称重要网络与信息系统），其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

该条指出商用密码应用安全性评估的对象为重要网络与信息系统。

重要网络与信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

来源:密评六大基础问题解答，四川省密码管理局网站

图1 重要网络与信息系统范围

三、重要网络与信息系统密码应用的“三阶段”要求

《办法》进一步落实《密码法》和《条例》要求的“同步规划、同步建设、同步运行商用密码保障系统，并定期进行商用密码应用安全性评估”（简称“三同步一评估”），并且从规划、建设、运行三个阶段分别提出落实安排、明确程序条件，建立起商用密码应用安全性评估制度的基本框架。

《办法》的第七、八、九条分别针对重要网络与信息系统的规划阶段、建设阶段、建成运行三阶段的商用密码要求进行了细化和落实，将密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系。

图2 三阶段具体的要求

四、

方案评估和系统评估的要求

自2022年开始，中国密码学会密评联委会制定了《商用密码应用安全性评估报告模板-方案密评报告》和《商用密码应用安全性评估报告模板-系统密评报告》，并且于2023年年初进行更新。国密局【2022】454号文进一步规范商用密码应用安全性，要求方案的密评报告和系统的密评报告均需要备案。

《办法》第十、十一条对商用密码应用方案和建设完成的网络与信息系统开展商用密码应用安全性评估的具体流程和要求见图3、图4。

图3 方案开展商用密码应用安全性评估的流程和要求

图4 系统开展商用密码应用安全性评估的流程和要求

图5 方案密评的备案自查表

图6 系统密评的备案自查表

五、对运营者的要求

1、运营者委托开展商用密码应用安全性评估的支持配合义务

委托商用密码检测机构开展商用密码应用安全性评估的，不得对评估结果施加不当影响，并应当提供以下支持：

（一）对网络与信息系统的重要数据进行备份；

（二）提供完整有效的网络与信息系统设备清单和网络拓扑；

（三）提供详细的网络与信息系统商用密码应用方案、密码相关管理制度和密码配置、运行、维护记录；

（四）提供商用密码产品管理入口、网络交换设备接入端口等相关信息、数据接入分析条件，并配合进行数据采集；

（五）安排网络与信息系统相关网络管理员、系统管理员、密钥管理员、密码安全审计员、密码操作员等做好配合；

（六）其他需要配合的事项。

2、运营者自行开展商用密码应用安全性评估的基本要求

《办法》允许运营者自行开展商用密码应用安全性评估，但是要求运营者应当符合以下要求：

（一）具有与开展商用密码应用安全性评估活动相适应的设备设施；

（二）具有与开展商用密码应用安全性评估活动相适应的项目管理、质量管理、人员管理、档案管理、安全保密管理等规章制度；

（三）具有与开展商用密码应用安全性评估活动相适应的专业人员；

（四）具有与开展商用密码应用安全性评估活动相适应的专业能力。

自行出具的商用密码应用安全性评估报告需由单位密码或者网络安全负责人签字确认并加盖本单位公章。

3、密评结果备案制度

评估报告的备案一般由密评机构配合运营者共同完成，由运营者在商用密码应用安全性评估报告形成后30日内，将评估报告和相关工作情况按照国家有关规定报送国家密码管理局或者网络与信息系统所在地省、‍‍自治区、直辖市密码管理部门备案。

目前大部分省份由运营者交到所处的市级密码管理部门做初步的审查备案，再由市级密码管理部门统一移交到省级密码管理部门出具回执。

4、运营者的应急处置要求

运营者发现密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的，应当及时向国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门报告，并启动应急处置方案，必要时开展商用密码应用安全性评估。

5、运营者的违法处罚

《办法》第十八条规定如果出现以下情形，处罚力度同于《条例》对关键信息基础设施运营者的处罚：

（一）重要网络与信息系统规划阶段，未对商用密码应用方案进行商用密码应用安全性评估的；

（二）重要网络与信息系统建设阶段，未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的；

（三）重要网络与信息系统运行前，未开展商用密码应用安全性评估的；

（四）重要网络与信息系统运行前，未通过商用密码应用安全性评估且未进行改造的；

（五）重要网络与信息系统建成运行后，未定期开展商用密码应用安全性评估的；

（六）重要网络与信息系统建成运行后，未通过定期开展的商用密码应用安全性评估且未进行改造的；

（七）违反法律法规、标准规范要求开展商用密码应用安全性评估的；

（八）不符合相关要求自行开展商用密码应用安全性评估的。

可见，如果重要网络与信息系统的运营者没有按照要求进行“三同步一评估”，将受到与关键信息基础设施运营者相当的处罚。

作 者

徐 秀 中国信通院云大所金融科技部高级业务主管，中科院网络空间安全博士。长期从事网络和数据安全、密码应用、隐私计算等领域的研究、标准制定、咨询与测评服务等。

联系方式：15201440242（同微信）

声明：本文来自CAICT金融科技，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。